Pakistan bağlantılı bir siber casusluk grubu, siber güvenlik savunmalarını aşmak amacıyla, Windows kadar Linux’u da hedef almak ve saldırılarına Google Drive ve Telegram gibi meşru bulut hizmetlerini dahil etmek de dahil olmak üzere, daha geniş yelpazede meşru yazılım tekniklerine yöneldi.
Şeffaf Kabile olarak adlandırılan grup, geçmişte Windows sistemlerini ve Android cihazlarını tehlikeye atmaya çalışan siber saldırılarla Hindistan’daki devlet kurumlarını ve savunma firmalarını hedef aldı. Ancak grup, son kampanyasında Windows bilgisayarlara kıyasla Linux sistemlerini tercih etti; saldırıların %65’i Linux Çalıştırılabilir ve Bağlanabilir Format (ELF) ikili dosyalarını kullanarak Hindistan’ın yerel MayaOS dağıtımını hedef aldı.
Siber güvenlik firması BlackBerry’nin tehdit istihbaratı ve araştırmasından sorumlu başkan yardımcısı Ismael Valenzuela, grubun geçmişte Hindistan hükümetini, ordusunu ve özel sektörünü tehlikeye atmaya odaklanmış olması nedeniyle, son kampanyaların hedeflemede bir sapma olmadığını söylüyor.
“Yıllar geçtikçe grup diğer ülkeleri hedef aldı [and] Hindistan’ın ötesindeki bölgeler (yani ABD, Avrupa ve Avustralya) ancak birincil hedefi görünüşe göre Hindistan olmaya devam ediyor” diyor ve şöyle devam ediyor: “Grubun Hindistan hükümetini veya ülkenin çeşitli yönetim organlarını hedef almak için yoğun bir şekilde tuzakları var.”
Güney Asya bölgesi aktif bir siber tehdit ortamına sahiptir. Hindistan bağlantılı Sidewinder grubu Geçmişte Pakistan’ın yanı sıra Türkiye ve Çin’i de hedef almıştı. Patchwork grubu Google Play mağazasını kötü amaçlı Android uygulamalarıyla donatarak Pakistanlıları hedef aldı. Çin bağlantılı Kaçamak Panda grubu Hindistan ve Amerika Birleşik Devletleri’ndeki Tibet vatandaşlarını hedef alırken, başka bir grup ise, ToddyCat olarak adlandırılanVietnam ve Tayvan’daki grupları hedef aldı.
APT36 ve Earth Karkaddan olarak da bilinen Transparent Tribe, daha önce aşk dolandırıcılıklarını kullanarak CapraRAT Android kötü amaçlı yazılımını dağıtın Keşmir bölgesi hakkında bilgi veren hedef Hindistan hükümet yetkililerine karşı. Bu arada Pakistan, siber güvenlik araştırmaları için 18 milyon dolarlık fon sağlayarak siber güvenlik duruşunu iyileştirmeye çalıştı ve Bütçesine 36 milyon dolar ekledi Daha iyi siber güvenlik teknik yetenekleri geliştirmek.
Kabile Hedeflerine Linux’u da Ekliyor
Genel olarak, Transparent Tribe’ın çok karmaşık olduğu düşünülmese de taktiklerini karıştırarak iyi bir başarı elde etti. Valenzuela, en son saldırıların birden fazla platformlar arası programlama dilini, yasal hizmetlerin kötüye kullanılmasını, çeşitli yükleri ve enfeksiyon vektörlerini ve yeni dağıtım mekanizmalarının kullanımını içerdiğini söylüyor.
Grubun Python, Golang ve Rust dahil olmak üzere platformlar arası programlama dillerini kullanması, hem Windows hem de Linux için programlar oluşturmasına olanak tanıyor; bu, Hindistan ordusunun MayaOS Linux dağıtımını yaygın olarak kullanması nedeniyle önemli bir yetenek. BlackBerry, analizinde, en son saldırının Python tabanlı bir indiriciyi dağıtmak için ELF ikili dosyalarını kullandığını ve bunun da Linux tabanlı bir sızma aracına yol açtığını belirtti.
“Bu ELF ikili dosyaları, muhtemelen hafif yapıları ve Python’a bağımlılıkları nedeniyle VirusTotal’da minimum düzeyde tespit edildi.” belirtilen analiz.
Diğer güvenlik firmalarına göre Transparent Tribe, en az bir yıldır Linux uzlaşmalarıyla oynuyor. Zscaler, Eylül 2023’te yaptığı bir analizde, belirli durumlarda Transparent Tribe’ın Microsoft Office belgesi gibi görünen bir “masaüstü giriş dosyası” kullanarak Linux sistemlerini hedef aldığını belirtti. Masaüstü giriş dosyaları Kullanıcı bir menü öğesini seçtikten sonra Linux masaüstü sistemlerinin eylem gerçekleştirmek için kullandığı bilgileri ve komutları sağlar.
“Linux masaüstü giriş dosyalarının APT36 tarafından bir saldırı vektörü olarak kullanılması daha önce hiç belgelenmemişti.” Zscaler 2023 analizinde belirtti. “Bu saldırı vektörü oldukça yeni ve çok düşük hacimli saldırılarda kullanılıyor gibi görünüyor. Şu ana kadar araştırma ekibimiz üç örnek keşfetti; bunların hepsi [zero] VirusTotal’da tespit ediliyor.”
Geçmişteki örnekler Android’e yönelik kötü amaçlı yazılımları içeriyordu ancak BlackBerry, son kampanyalarda Android’in hedef alındığına dair herhangi bir işaret görmedi.
Kötü Amaçlı Yazılımları Meşru Süslemelerle Giydirme
Transparent Tribe, saldırı altyapısının bir parçası olarak meşru araç ve hizmetleri kullanarak arazide yaşama eğilimini genişletiyor. Grup, dosyaları barındırmak için e-postayı ve güvenliği ihlal edilmiş web sitelerini kullanıyor, ancak aynı zamanda güvenliği ihlal edilmiş alan adlarının kontrollerini atlamak için Google Drive’ı da kullanıyor. BlackBerry’den Valenzuela, VoIP ve Discord ve Telegram gibi anlık mesajlaşma uygulamalarının kullanımının yeni bir yaklaşım gibi göründüğünü söylüyor.
“Eğer bir hizmet, araç, [or] yazılım kötüye kullanılabilir, bir uzlaşma vektörü haline gelebilir veya saldırı zincirinin bir parçası haline gelebilir; bu, bir APT grubunun görünürde radarın altından uçmasına ve ağ oluşturma perspektifinden bakıldığında göz önünde saklanmasına olanak sağlayabilir” diyor. Meşru araç kullanımı yeni bir olgu değildir; birçok emtia teknik yardımları bulunmaktadır. [threat actors] ve APT grupları görünüşte zararsız ve meşru araçları kendi kazançları ve hedefleri için yasa dışı bir şekilde kullanıyor.”
Diğer gruplar, genellikle işletim sistemine disk olarak görünen ISO görüntülerini kullanan Windows sistemlerini hedef alırken, BlackBerry’ye göre Transparent Tribe, ISO görüntülerini ancak 2023’ün sonlarına doğru kullanmaya başladı.
BlackBerry tarafından keşfedilen ISO görüntülerinde iki PDF yeminden biri kullanıldı: Ordunun emeklilik sistemindeki personel değişikliklerini tartışan bir belge ve ordu personeli için bir kredi başvurusunu tartışan bir belge. Ancak her iki ISO da Windows taşınabilir yürütülebilir (PE) dosyalarını kullanarak hedefleri tehlikeye atmaya çalışan Python tabanlı bir Telegram botu sundu.
Valenzuela, “Bu, daha geniş tehdit ortamında yaygın bir teknik olsa da, bu grubun ilk kez benimsediği gibi görünüyor” diyor. [ISO images] saldırı zincirinin bir parçası olarak.”